클릭 유도 80퍼센트, 일상 문자 공격 어떻게 달라졌나
2026년 1분기 스미싱(Smishing) 공격은 금융기관 사칭과 대출 사기 유형을 중심으로 빠르게 증가하며, 금전적 이익을 노린 공격이 더욱 노골화되는 양상을 보였다. 특히 URL 클릭을 유도하는 방식이 여전히 주요 공격 경로로 활용되며, 사용자 대응의 중요성이 더욱 커지고 있다. 일상적인 소재부터 공신력 있는 기관 사칭까지 다양한 형태로 진화한 스미싱 사례를 통해 최근 위협 흐름을 살펴보고, 효과적인 대응 방안을 짚어보자.
1. 2026년 1분기 스미싱 위협 동향
2026년 1분기 스미싱 공격은 금융기관 사칭(53.62%)과 대출 사기(18.72%) 유형이 전체의 상당 비중을 차지하며 두드러진 증가세를 보였다. 특히 전분기 대비 금융기관 사칭은 9.38%, 대출 사기는 205.15% 급증한 반면, 정부기관 사칭과 텔레그램 사칭은 각각 51.99%, 22.55% 감소했다.
이런 변화는 공격자가 직접적인 금전적 성과를 기대할 수 있는 시나리오에 집중하고 있음을 보여준다. 공신력 있는 기관을 사칭하거나 금융 혜택을 미끼로 접근하는 방식이 더욱 강화된 것이다.
공격 유도 방식에서는 URL을 포함한 유형이 81.36%로 압도적인 비중을 차지했다. 이어 모바일 메신저(9.18%), 전화(8.59%), SMS(0.86%) 순으로 나타나, 여전히 링크 기반 유도가 핵심 공격 경로로 활용되고 있음을 확인할 수 있다.
[그림 1] 2026년 1분기 분류별 피싱 문자 비율
2. 주요 스미싱 유형별 특징
스미싱 공격은 일상적인 소재부터 공신력 있는 기관 사칭까지 다양한 형태로 나타나며, 사용자 상황과 심리를 교묘하게 파고드는 특징을 보인다. 주요 유형별 특징을 살펴보면 다음과 같다.
① 금융기관 사칭
금융기관 사칭 유형은 카드 개통, 발급 완료, 이상 거래 안내 등 사용자가 즉시 사실 여부를 확인해야 할 것처럼 보이는 내용을 앞세워 불안감을 자극하는 방식이 주로 활용된다. 실제 사례에서는 국제발신 표시와 함께 카드사 명칭, 카드 개통 완료 안내, 문의 전화번호 등을 함께 제시해 정상적인 금융사 알림처럼 보이도록 구성돼 있다.
[표 1] 금융기관 사칭 피싱 문자 예시
이런 문자에 속아 안내된 번호로 연락할 경우, 공격자는 본인 확인이나 사고 접수를 명목으로 개인정보나 금융정보를 요구하며 피해를 확대할 수 있다. 문자 내 링크를 클릭하는 것 외에도 전화 연결을 통해서도 2차 피해가 발생할 수 있다는 점에서 각별히 주의해야 한다.
② 대출 사기
대출 사기형 스미싱은 저금리, 긴급 승인, 맞춤형 금융 지원과 같은 문구를 사용해 수신자가 특별한 금융 혜택 대상이 된 것처럼 인식하도록 한다. 실제 사례에서는 금리, 상환 기간, 대출 한도, 신청 자격과 같은 세부 조건을 길게 제시하고, 직업·소득 확인이 어렵거나 연체 중인 경우에도 가능하다고 안내해 절박한 상황에 처한 수신자의 관심을 유도한다. 또한 광고용 번호는 연결되지 않는다는 이유로 카카오톡을 통해서만 담당자와 상담하도록 유도하며 상담 흐름을 메신저로 집중시키는 특징을 보인다. 이후 메신저 상담으로 연결되면 개인정보 제공, 선입금 요구, 수수료 명목 송금 등으로 이어질 수 있다.
[표 2] 대출 사기 피싱 문자 예시
③ 정부기관 사칭
정부기관 사칭 유형은 공신력 있는 기관을 사칭해 과태료, 범칙금, 법규 위반 통지 등 즉시 확인하지 않을 경우 불이익이 발생할 수 있는 상황을 강조한다. 실제 사례에서도 교통경찰청이나 경찰청교통민원24(이파인) 같은 공공기관 명칭을 활용해 공식 안내처럼 위장한 뒤, URL 클릭을 유도하는 흐름이 확인됐다.
이 링크는 실제 기관 사이트와 유사하게 제작된 피싱 페이지로 연결되며, 해당 페이지에서 사용자가 개인정보를 입력하면 계정이 탈취되거나 악성 앱이 설치될 수 있다.
[표 3] 정부기관 사칭 피싱 문자 예시
[그림 2] 정부기관 사칭 피싱 사이트
④ 텔레그램 사칭
텔레그램 사칭 유형은 계정 확인 요청이나 인증 안내처럼 짧고 단순한 문구를 활용해 사용자의 즉각적인 반응을 유도한다. 메시지 자체는 간결하지만, 계정 문제라는 민감한 상황을 암시해 긴장감을 높이고 자연스럽게 URL 클릭을 유도한다.
사용자가 해당 링크에 접속해 계정 정보를 입력하면 메신저 계정이 탈취될 수 있으며, 이후 추가 사기나 지인 대상 공격으로 확산될 가능성도 존재한다.
[표 4] 텔레그램 사칭 피싱 문자 예시
[그림 3] 텔레그램 사칭 피싱 사이트
⑤ 구인 사기
구인 사기형 스미싱은 재택근무, 고수익 아르바이트, 당일 지급 등의 문구를 활용해 경제적 관심을 자극하는 방식으로 접근한다. 근무 조건, 급여, 지원 절차를 상세히 제시해 정상적인 채용 공고처럼 보이도록 구성돼 있으며, 상담센터 URL을 반복적으로 노출해 자연스럽게 클릭을 유도한다.
사용자가 링크에 접속하면 상담을 빌미로 개인정보를 수집하거나 일정 금액의 선입금 또는 수수료를 요구하는 방식으로 금전을 갈취한다.
[표 5] 구인 사기 피싱 문자 예시
⑥ 택배 사칭
택배 사칭 유형은 배송 지연, 주소 오류, 본인 확인 요청 등 일상적으로 접할 수 있는 상황을 활용해 사용자의 경계를 낮춘다. 주로 포털이나 배송 브랜드명을 활용해 공식 안내처럼 보이게 한 후, URL에 접속해 확인하도록 유도하는 수법이 사용된다.
공격자가 첨부한 링크는 피싱 사이트로 연결되며, 사용자의 개인정보 입력을 요구하거나 악성 앱을 설치한다.
[표 6] 택배 사칭 피싱 문자 예시
[그림 4] 택배 사칭 피싱 사이트
⑦ 공모주 사칭
공모주 사칭 유형은 상장 확정, 일반 청약, 선착순 마감 등 투자 관련 키워드를 앞세워 사용자의 투자심리를 자극한다. 실제 사례에서도 기업명과 상장 일정 등을 간단히 제시한 뒤 투자 관련 사이트로 접속하도록 유도하는 방식이 확인됐다.
짧고 단순한 문장을 통해 신뢰도를 높이는 동시에, 빠른 판단이 요구되는 투자 환경을 악용해 사용자가 충분한 검증 없이 행동하도록 유도하는 것이 특징이다.
[표 7] 공모주 사칭 피싱 문자 예시
⑧ 청첩장·부고 위장
청첩장 및 부고 위장형 스미싱은 결혼식 초대나 사망 소식과 같은 친숙하고 감정적인 소재를 활용해 사용자의 의심을 피한다. 간단한 안내 문구와 함께 정상적인 초대장 또는 부고장 페이지로 위장한 악성 사이트로 연결되는 URL을 제시해 사용자의 클릭을 유도한다.
이처럼 사용자가 감정적으로 동요된 상태에서 링크에 접속할 경우, 피싱 사이트를 통한 개인정보 탈취나 악성코드 감염으로 이어질 수 있다.
[표 8] 청첩장 위장 피싱 문자 예시
⑨ 가족 사칭
가족 사칭형 스미싱은 처음부터 직접적인 송금을 요구하기 보다, 가족인 것처럼 자연스럽게 대화를 시작하는 방식으로 접근한다. ‘엄마’라는 호칭과 일상적인 질문, 휴대전화 파손 접수와 같은 생활형 소재를 활용하면 수신자는 평소 가족과 주고받는 메시지로 오인하기 쉽다.
[표 9] 가족 사칭 피싱 문자 예시
대화가 이어지면 송금 요청, 인증번호 전달, 연락처 저장, 추가 (악성) 앱 설치 요구 등으로 점진적으로 요구 수준을 높일 수 있다. 따라서 사용자는 문자를 수신했을 때부터 의심하고 경계해야 한다.
스미싱 대응 및 예방 방안
스미싱 공격은 다양한 형태로 진화하고 있지만, 공통적으로 사용자의 즉각적인 반응을 유도하는 데 목적이 있다. 따라서 문자 내용을 그대로 신뢰하기 보다 발신된 방식이 평소와 다르거나 과도한 긴급성이 보이는 안내 문자는 한 번 더 확인하는 습관이 중요하다.
다음 이 6가지 기본 보안 수칙은 스미싱 피해를 예방하는 데 도움이 될 것이다.
1. 문자 내의 URL은 즉시 클릭하지 않기
금융, 과태료, 배송, 청첩장, 부고 등 확인을 재촉하는 내용이 포함돼 있다면 링크를 바로 클릭하지 말고, 공식 앱이나 웹 사이트에 직접 접속해 동일한 안내가 있는지 먼저 확인한다.
2. 금융·대출 관련 내용은 공식 채널로 재확인
금융 또는 대출 관련 문자는 반드시 해당 기관의 공식 고객센터나 대표 채널을 통해 재확인한다. 문자에 포함된 전화번호나 메신저 ID를 이용하기보다, 공식 번호를 직접 검색해 문의하는 것이 안전하다.
3. 발신자 번호와 메시지 내용 함께 확인
발신자 번호와 메시지 내용을 종합적으로 살펴보고, 조금이라도 의심스러운 경우 인터넷 검색이나 내부 보안 절차를 통해 추가 확인한다. 정상 기관이나 기업의 안내라면 동일한 문구나 발신 번호 정보가 공개적으로 확인되는 경우가 많다.
4. 2차 행동 유도 메시지 주의
모바일 메신저 친구 추가, 오픈채팅 이동, 전화 회신 요구와 같이 2차 행동을 유도하는 문자는 스미싱 가능성을 염두에 두고 대응해야 한다. 최근에는 URL 대신 상담 채널로 유도한 뒤 악성 앱 설치나 개인정보 제공을 요구하는 사례도 증가하고 있다.
5. [국제발신], [국외발신] 표시 및 과도한 긴급성 경계
문자에 [국제발신], [국외발신] 표시가 있거나 지나치게 긴급한 어조로 행동을 재촉하는 경우 우선 의심부터 하는 것이 바람직하다. 특히 공공기관, 금융기관, 가족 등을 사칭하며 즉각적인 조치를 요구하는 문구는 대표적인 스미싱 수법에 해당할 수 있다.
6. 의심 문자 캡처 후 신고
의심되는 문자를 수신했다면 즉시 삭제하기보다 화면을 캡처하고, 본문에 포함된 URL이나 발신 번호를 보관한 뒤 보안 담당 부서나 관련 기관에 신고하는 것이 좋다. 이러한 정보는 유사 공격 차단과 추가 피해 확산 방지에 도움이 된다.
이 밖에, 문자 내 URL과 첨부 파일을 차단·점검할 수 있는 보안 솔루션을 최신 상태로 유지하는 것도 중요하다. 스미싱은 사회적 이슈와 일상적인 소재를 빠르게 반영하며 지속적으로 변형되므로, 익숙한 내용의 문자라도 링크 클릭과 정보 입력 전에 반드시 한 번 더 확인하는 습관이 필요하다.
출처 : AhnLab
